跳過主内容

Microsoft Defender for Endpoint 現在能自行阻止來自人為操作的攻擊

在打擊勒索軟體方面,防禦者必須利用一切優勢。今天我們很高興地宣布,Microsoft Defender for Endpoint 的客戶,現在可以在無需部署任何其他功能的環境下,在攻擊鏈的早期階段,自動阻止像勒索軟體這樣的人為操作攻擊。現在,您的企業只需將其裝置接入 Defender for Endpoint,就能開始使用「自動攻擊阻斷」功能,並讓更多客戶能夠利用這種 AI 驅動的延伸偵測及回應(XDR)功能。

「自動攻擊阻斷」功能,使用橫跨 Microsoft 365 Defender所有工作負載(身分識別、端點、電子郵件和軟體即服務 SaaS 應用程式)中的訊號,來確保有完美阻止高級攻擊。基本上,如果在單一裝置上偵測到人為操作攻擊,攻擊阻斷功能將同時停止該裝置上的攻擊活動,並阻止攻擊連接到組織中的所有其他裝置,對手將無處可逃。

「自動攻擊阻斷」功能會在攻擊者有機會採取惡意行動之前,在所有裝置上對遭入侵裝置採取隔離措施。這些惡意行動,包括攻擊者使用帳戶進行橫向移動、執行憑證竊取、資料外洩和遠端加密等。這種預設啟用的功能,會識別遭入侵的用戶及裝置是否與任何其他端點有任何關聯活動,並立即切斷所有入站和出站訊號,實質上的將遭入侵的用戶完全隔離。即使遭入侵的用戶擁有最高的權限級別,並且通常在安全控制的範圍之外,攻擊者仍將被限制存取組織中的任何裝置。這種分散式的保護,已經成功地保護了 91% 的受攻擊目標裝置,使它們免受加密攻擊的影響。

直到現在,要檢測出這些攻擊活動,對安全團隊來說都是重大挑戰,因為攻擊者通常會將活動偽裝成正常用戶行為。儘管其他資安供應商也能檢測到這些攻擊技巧,但只有 Microsoft 365 Defender 能夠在您的安全團隊離線的情況下,全天候自動阻斷攻擊。在 Microsoft 大量的資訊基礎與深入的用戶行為分析支持下,安全團隊現在擁有一個強大的新工具,可以輕鬆地大規模阻止複雜的勒索軟體攻擊者。

自 2022 年以來,這項功能已默默地為客戶阻止了真實組織的惡意攻擊。例如,在 2023 年 8 月,駭客入侵了一家醫學研究實驗室的裝置。由於涉及到生命和價值數百萬美元的研究,對駭客來說,加密這些裝置並要求贖金的潛在回報是很高的。在實際的鍵盤攻擊期間,駭客手動執行命令,並使用遠端桌面協議,連接到組織的 一台SQL 伺服器。從那裡,駭客執行了憑證轉儲—這是嘗試存取裝置網路中其他 55 台裝置的第一步。然而,他們不知道一旦連接到 SQL 伺服器,這將是勒索軟體攻擊的最後一步。他們立刻被阻止訪問實驗室的任何裝置,安全分析師甚至還沒有動手。

這個研究實驗室只是參與了這項業界首創功能的少數 Microsoft 客戶之一。自 2023 年 8 月以來,我們已經協助超過 6,500 台裝置,免於受到BlackByte 和 Akira 等駭客組織的攻擊加密。

自動攻擊阻斷改變了遊戲規則

勒索軟體是企業組織最常見的人工操作攻擊之一。2022 年,全球發生近 2.367 億次勒索軟體攻擊案件,預計到 2031 年,每年的在資安維護上的成本,將上升至 2,650 億美元。隨著勒索軟體等攻擊的數量和影響力不斷增加,安全分析師需要對自動攻擊阻斷提供的先前手動回應進行複雜的自動化,以有效擴展其防禦措施。

在這個不對稱的資安戰場上,為了幫助所有企業組織與防禦者,Microsoft 365 Defender 在 2022 年 11 月推出了「自動攻擊阻斷」功能:這是一項業界首創的功能,它將跨越所有攻擊訊號,了解彼此的相關性,組合成一個高還原事件,並以機器速度阻止攻擊。結合自動化與回應功能,Microsoft 365 Defender 是唯一可在組織和裝置層級防禦勒索軟體攻擊的 XDR 平台。

除了勒索軟體,「自動攻擊阻斷」功能也能偵測最普遍、最複雜的惡意攻擊,包括商業電子郵件外洩與入侵者之間的攻擊。這些情境都涉及端點、電子郵件、身份和應用程式等攻擊向量的組合,對安全團隊來說,在這些情境內確定攻擊來源是非常具有挑戰性的。大多數安全供應商缺乏高擬真訊號來準確識別是否發生攻擊,更不用說進一步採取防禦行動了。「自動攻擊阻斷」功能,它能自信地偵測並阻阻斷攻擊源,使防禦者有時間在損害造成之前作出反應。

擴大您的安全覆蓋範圍,獲取更多的訊息

如安全格言所提及的,問題並不在於「你是否會被侵入」,而在於「何時會被侵入」。端點安全需要透過多個保護層和機制進行深度防禦,如修補漏洞、使用下一代防病毒軟件消除外圍威脅、利用自動調查和回應,在單一裝置層級進行修復,以及在組織層級上導入「自動攻擊阻斷」功能,及時阻止惡意入侵。

隨著 Microsoft 365 Defender 中整合的每款產品的推出,「自動攻擊阻斷」功能的效力和覆蓋範圍也隨之增加。雖然大多數勒索軟體的攻擊通常發生在端點上,但在應用程式、身份、電子郵件和協作等各個層面,部署完整的安全堆疊,也能保護裝置免受常見情境(如商業電子郵件洩漏)的攻擊。部署完整的安全措施,不僅可以防止攻擊,還可以提供各種其他安全功能,以確保組織在數位環境中的安全性和穩定性。

現在透過「自動攻擊阻斷」來保護各種規模的客戶

每天,世界各地越來越多的組織正利用自動攻擊阻斷功能,成功地阻斷人為操作的攻擊。新用戶在該功能之下,讓各種規模客戶自動受到保護,免於勒索軟件的攻擊。對於經常無法獲得縝密的安全解決方案或專業知識的中小型企業(SMBs)來說,這種「預設啟用」功能可以幫助他們在專注於營運業務的同時免受最新威脅的影響。

這些功能現已在以下端點保護產品中提供公開預覽版:

為確保您已部署了最新的、協助您管理裝置的代理軟體,並且確認您的系統與裝置已啟用以充分利用新功能,請閱讀相關文件。

欲瞭解更多資訊:

    • 欲深入瞭解「自動攻擊阻斷」功能如何保護癌症研究實驗室和抵禦阿基拉威脅組織,請閱讀本文
    • 觀看「自動攻擊阻斷」功能實際運作的demo演示影片

中小企業資源:

  • 通過我們的文件瞭解 Defender for Business 中的「自動攻擊阻斷」功能。
  • 從我們的網站瞭解更多關於中小企業安全解決方案的消息。

原文網址:Microsoft Defender for Endpoint now stops human-operated attacks on its own | Microsoft Security Blog